2021-11-22

Emotet 活動再開、らしい

マルウェア「Emotet」の感染につながる不審なメールが再び出回ったとして、IPAが注意喚起

<https://internet.watch.impress.co.jp/docs/news/1367367.html>

Emotet について分かり易く書かれたサイトをまとめました。

また、VMware Carbon Black による防御についても触れたいと思います。

どのようにEmotedに感染するか

itmediaの記事が分かり易いです。

LAC社が情報を提供しています。

https://www.itmedia.co.jp/news/articles/2111/22/news107.html

Microsoft Officeのマクロ、メール本文や添付ファイルからの URL アクセスによりEmotet がパソコンに入ることが分かります。

Emotedに感染するとどのような振舞いをするか

Canon社のサイトに書かれています。

https://eset-info.canon-its.jp/malware_info/special/detail/210422.html

・データを外部に漏らす

・Emotet に感染した端末から他のマルウェアを媒介して被害を拡大する

3.Carbon Black を使った対処法

VMware Carbon Black の Community site に投稿がありました。

・Emotet prevention には３つの記事がリンクされています。

<https://community.carbonblack.com/t5/Endpoint-Standard-Discussions/Emotet-prevention/m-p/59642/thread-id/4172>

3-1 TAU-TIN - Emotet Variant　

Carbon Black 製品を用いた防御方法の概要。

CB Defense (現在の正式名称はCarbon Black Cloud Endpoint Standard)では、レピュテーションによる保護が有効と書かれています

CB Protection (現在の正式名称はCarbon Black AppControl)では防御レベルをHigh, Mediumに上げて対応するとあります。

また、CB Response (現在の正式名称はCarbon Black EDR)ではハッシュ、C&CサーバのIPアドレスが書かれています。

※ 2018年の情報につき、ハッシュ、IPアドレスは現時点で有効ではない可能性があります。

3-2 TAU-TIN - Malicious Document/Downloader

こちらにより詳しい、具体的な手順が書かれています。

CB Defenseのレピュテーションの設定方法、CB Protection で定義すべきルールのサンプル、CB Response での Search query と、より多くのハッシュが書かれています。

ただし、こちらも情報が古いことに注意下さい。

3-3 TAU-TIN New Word Macro Campaign

Word Macro に対する防御方法があります。

Malware Bazzar

https://bazaar.abuse.ch/browse/tag/Emotet/

Emotet のハッシュリストが更新されています。

数多くの型があります。

Malware URLs

https://urlhaus.abuse.ch/browse/tag/emotet/

こちらはURLのリスト。

Emocheck

JPCERTCC/EmoCheck

Emotet を検出するツールです。

感染疑いのある端末で実行することにより、感染有無を判別できます。

作成者に感謝いたします。

まとめ

Emotet 対策をするには。

・Carbon Black 社製品を使っている場合、3-1を見ていただいてから 3-2, 3-3 を参照して対策を行います。

ハッシュは古いものなので、4を参照いただくのがよいでしょう。

Live Response で被疑端末にEmocheckを送り、実行することもできます。

別のEDR製品を使われている場合は、各製品のサポートサイトをご覧ください。

Emocheckは誰もが利用いただけます。

本日はここまでとなります。

2021-11-04

Avi Controller backup and restore

I will introduce Avi Networks back up and restore procedure.

It took more time than I expected.

■Confirm backup configurations

admin@10-1-1-10:~$ shell

Password:xxx

s[admin:10-1-1-10]: > show scheduler Default-Scheduler

+-------------------+------------------------------------------------+

| Field | Value |

+-------------------+------------------------------------------------+

| uuid | scheduler-7760b0fd-f9b1-474a-aec7-5f8cecfa6ffc |

| name | Default-Scheduler |

| enabled | True |

| run_mode | RUN_MODE_PERIODIC |

| start_date_time | 2021-06-24T04:05:30.716351 |

| frequency | 1 |

| frequency_unit | SCHEDULER_FREQUENCY_UNIT_DAY |

| backup_config_ref | Backup-Configuration |

| scheduler_action | SCHEDULER_ACTION_BACKUP |

| tenant_ref | admin |

+-------------------+------------------------------------------------+

[admin:10-1-1-10]: > show backupconfiguration Backup-Configuration

+------------------------+----------------------------------------------------------+

| Field | Value |

+------------------------+----------------------------------------------------------+

| uuid | backupconfiguration-cf622e2c-0e05-4fb0-8065-972b4ffd3d45 |

| name | Backup-Configuration |

| save_local | True |

| maximum_backups_stored | 4 |

| backup_passphrase | <sensitive> |

| tenant_ref | admin |

+---------

■change backup configurations

> configure scheduler Default-Scheduler

< https://avinetworks.com/docs/latest/backup-and-restore-of-avi-vantage-configuration/>

■Backup file path

admin@10-1-1-10:/var/backups$ sudo find / -name backup_Default-Scheduler*

find: File system loop detected; ‘/host/root2’ is part of the same file system loop as ‘/’.

/var/lib/avi/backups/backup_Default-Scheduler_20211004_040538.json

/var/lib/avi/backups/backup_Default-Scheduler_20211022_040539.json

/var/lib/avi/backups/backup_Default-Scheduler_20210924_040534.json

/var/lib/avi/backups/backup_Default-Scheduler_20210907_040532.json

■Download backup file

f:id:midorihige35:20211104145428p:plain

You can download just click on "Local file".

(Local Fileの該当ファイルをクリックすればDLできる)

■Back up execution

[admin:10-1-1-10]: > export configuration file /tmp/aviBkup3node.json full_system

Please enter the passphrase to encrypt configuration:

Retype passphrase:

Downloaded the attachment to /tmp/aviBkup3node.json

Completed writing the export configuration to /tmp/aviBkup3node.json

The backup file does not show up in previous GUI page because file path was different from regular back up file path.

■Controller Cluster Restoration

・Upload backup file

scp /var/backup/avi_config.json admin@://tmp/avi_config.json

https://docs.vmware.com/jp/VMware-NSX-Advanced-Load-Balancer/20.1.4/Administration_Guide.pdf

Deploy three new controllers and power on VM.
Access via browser and set password @controllers.
Login 3 Controllers and apply patch same as backup acquired version.
SSH to the 2-follower Controllers.

execure "reboot clean" on shell mode.

SSH to 1-Leader Controller, upload backup.json file and execute "restore_config.py".

https://avinetworks.com/docs/21.1/patch-upgrade-process-post-18.2.6-release/

https://avinetworks.com/docs/latest/backup-and-restore-of-avi-vantage-configuration/

Command sample.

sudo /opt/avi/scripts/restore_config.py --config /tmp/aviBkup3node.json --passphrase HogeHoge --vip 10.1.1.13 --followers 10.1.1.9 10.1.1.10 --flushdb

'CLUSTER_FOLLOWER', 'up_since': '2021-11-01 06:02:40'}, {'state': 'CLUSTER_ACTIVE', 'name': '10.1.1.8', 'mgmt_ip': '10.1.1.8', 'role': 'CLUSTER_LEADER', 'up_since': '2021-11-01 06:02:40'}, {'state': 'CLUSTER_ACTIVE', 'name': '10.1.1.9', 'mgmt_ip': '10.1.1.9', 'role': 'CLUSTER_FOLLOWER', 'up_since': '2021-11-01 06:02:40'}]

======== Configuration Restored for 3-node cluster ========

admin@10-1-1-8:/tmp$

You will able to restore Controller Cluster.

Thank you.

2021-09-27

Covid-19 対策その２

コロナ感染が拡大してからもう１年以上経ちました。

救急車を呼んでも入院先が見つからず死に至ったり、自宅療養で亡くなったりしているのを放置するような政権は見放されるのでしょう。

自身の感染体験より、問題と対策を考えてみました。

f:id:midorihige35:20210927191554p:plain

１．PCR検査時間の短縮と検査数を増やす

この病気が怖いのは感染者の症状に差が激しいこと。

死に至る人がいる一方で、感染しても全く無症状の人もいます。

日常生活を送る中で、電車に乗り、いろんな人と対面で話し、どこかで食事をしていると、コロナ感染の可能性は出てきます。

自身が感染しているかどうかが分からない状態は不安ですし、実際に感染していたら他の人に感染させてしまうことになるでしょう。

このため、すぐに検査を受けられることは重要ですが、残念ながらそのようにはなっていませんでした。

ヨーロッパでは自動検査機器で検査を行うことで検査数を増やし、検査時間を短縮することに成功しています。

この機器を提供しているのは千葉県にあるPSSという会社であり、フランス大使館から感謝状をもらっているのです。

https://www.pss.co.jp/ir/press/pdf/20200424.pdf

残念ながら日本では使われていないようです。

せっかく日本にある技術を日本人のために活かせていないのはなぜなのか。

検索するといくらでも出てきます。

https://news.yahoo.co.jp/byline/kimuramasato/20200509-00177769

https://www.tbsradio.jp/archives/?id=p-490799

https://naruhodocchi.com/pcrprecision#pcr-3

https://www.ikejiri-dc.com/blog/category/doctor-blog/page/3

省庁による規制のようです。

この機器を使えば、検査数を増やすことができるだけでなく、現在８時間かかっている検査を２時間に短縮できる。

私が経験したように、検査してから結果が分かるまでに２日かかるようなことにはならないはずです。

2.　感染が疑われる場合はすぐに隔離

感染者のための隔離施設を自治体が準備します。

我が家の実績から、症状が出てから５日後に隔離施設に入ることができましたが、これでは家庭内感染を防ぐことができません。

こんなこと誰でも分かると思うのですが、感染の可能性がある人は即時隔離をしないと感染が拡大します。

2021年9月のニュースでは、感染経路として最大となっているのは家庭内感染です。

家庭内感染を減らせれば、感染者数を減らすことが出来るのです。

家庭内感染を減らすには、隔離を早い段階で行う必要があります。

3. 　治療薬の認可

ワクチンを打っておけば感染しにくくなり、たとえ感染したとしても症状が抑えられるという。

しかし、感染してしまったらワクチンではなく、治療薬が必要になります。

最近ニュースで取り上げられている抗体カクテルのような飲み薬による治療ができれば、感染者の重症化率は下げられるでしょう。

治療薬としては早い時期から富士フィルムのアビガンがコロナに効くと言われていて、世界でも認可される国、地域が増えています。

世界のアビガン認可状況

http://hica.jp/avigan/avigan.html

アビガンも省庁の規制により認可されていないようです。

4.　空いた病床数の見える化

保健所が空き病床ないということで病院に電話しまくっている状況らしいですね。

空き病床数のような数値で表せる指標であればITを利用すればよいのですが。

ベッド数、入院患者数と、現時点までの入退院者数が分かればすぐに出来るはずです。

電話しまくっている時点でコロナに対応できる医療の限界を超えており、医療崩壊しています。

政治家に医療崩壊していることを認識させるためにも、この見える化は必要です。

ここまで読んでいただき、ありがとうございました。

体験以外はこちらのサイトを参考にさせていただきました。

http://openblog.seesaa.net/

2021-09-11

Covid19 に感染して分かった問題点

私の住む自治体のコロナ対策、自分がコロナ感染したことにより、とても脆弱であることが分かりました。

1. PCR検査が受けられない、
　　予約しようとしても医療機関への電話がなかなか繋がりません。
　　発信履歴をみると、つながったのは118回目でした。

2. PCR検査の費用負担が厳しい
　検査結果が陰性だった場合、約25000円の費用負担を求められます
　　民間の検査は費用にばらつきがありますが、最低でも4000円以上するようです。
　　https://www.google.com/search?q=%E3%82%B3%E3%83%AD%E3%83%8A%E3%80%80%E6%85%88%E6%82%B2%E6%A4%9C%E6%9F%BB+%E8%B2%BB%E7%94%A8%E6%AF%94%E8%BC%83&rlz=1C1GCEB_enJP865JP865&sxsrf=AOaemvLA-d6MVSJWvcI-3c9WeiRtvLgdlA%3A1631365972945&ei=VKs8YZn7OIz90gSO24bgDQ&oq=%E3%82%B3%E3%83%AD%E3%83%8A%E3%80%80%E6%85%88%E6%82%B2%E6%A4%9C%E6%9F%BB+%E8%B2%BB%E7%94%A8%E6%AF%94%E8%BC%83&gs_lcp=Cgdnd3Mtd2l6EANKBQg8EgE0SgQIQRgBUPeEAVjgmgFgnJ0BaARwAHgAgAFtiAGYBpIBAzQuNJgBAKABAcABAQ&sclient=gws-wiz&ved=0ahUKEwiZ9cLq__byAhWMvpQKHY6tAdwQ4dUDCA4&uact=5

3. 一部の自治体では保健所が機能していない
　　私の住む自治体では、７月に感染した息子の時には毎日電話がありました。
　　８月に自分が感染したには治ってしばらくしてから１回の電話に限られました。
　　医療機関に直接入院させてもらうことができないので、
　　１人暮らしで入院が出来なかった場合、自宅で亡くなってしまう可能性があります。
　　現に亡くなっているかたも出ている。
　　この状況を不安に思わない人はおられないと思います。
　　一市民としても、この状況を看過できません。
　　コロナ感染が始まって１年半経ってこの状況となると、政権がひっくり返るのも仕方がないように思いました。

4. 隔離するまでに時間がかかる
　　感染が疑われたらすぐに隔離が出来ることが望ましい。
　　前述の通り、私の住み自治体ではPCR検査を受けるためだけにも時間がかかりました。
　　また、PCR検査で検体を取ってから結果が出るまで、最長で３日。
　　さらに陽性結果が出てから、ホテルなどの隔離施設に入る迄に数日。
　　これでは家庭内感染が広がるのは当たり前だと思いました。
　　９月の新学期が始まると、子供が学校や保育園で感染した後、同居する家庭への感染が増えてくるでしょう。
　　子供は感染しても無症状であることが多いので、子供から両親に感染してから家庭内感染が発覚することに
　　なるので、3~4週のタイムラグがあると想像しています。

5. 薬を使った治療が広まっていないようだ
　　隔離した感染者が重症化する前に、早期に重症化を抑える治療が望ましい。
　　2020年の時点でも、アビガンなど効果のある薬があると聞いていたが、あまり使われていないのではないか。

6. ワクチンが行き渡っていない
　　これはワクチンが打てる日を待つしかないか。
　　ワクチンを打っておけば感染を防ぐ効果、感染しても重篤化を抑える効果があるとのことなので、感染する前にワクチンを打っておきたいです

本日はここまでとさせていただきます。

読んでいただきありがとうございました。

2021-09-08

Infected COVID-19 _Part3

前回の続きです。

一旦コロナ感染は防げたと思ったのだが、翌週以降に感染してしまう。

8/11(水)：気怠さを感じた。体温測定は行わなかったため不明

8/12(木)：さらに体調が悪くなる。体温は37.4度。

8/13(金)：とうとう体温計が38度を上回る

症状としては、発熱、関節の痛み、咳・痰

インフルエンザの発熱時に似ている

食事を取ることができず、水を飲むだけ

8/15(日)：ここ数日は水を飲んではベットに戻るの繰り返しであった。

深夜冷蔵庫に水を取りにいったときに気を失った。

転倒した音で妻と子供が起きてくれて、ベッドに運んでくれた。

これが２回あったそうだ。

１回目は記憶になく、２回目はおぼろげに覚えている。

同居家族がいなかったら、これで絶命していた可能性もあった。

8/18(水)：熱が下がってきてなんとか歩ける状態になったので、PCR検査を受けようと近所の病院を調べ、電話をした。電話はつながらず、午後になってやっとつながった病院では、本日の受付終了。明日かけなおしてくれとのこと。

8/19(木)：妻が午前中に電話をかけまくってくれて、近所の病院に電話がつながったのでPCRを受けに行く。通常昼休みとしている時間を使って検査をしてくれているようだ。病院まで徒歩600m程度だが、体力が落ちており、歩いている自分がフラフラと蛇行しているのが分かる。

病院近くに着いたら、病院に入る前に電話。

エレベータは使わず、階段で２階まで登るよう指示を受けた。

コロナの疑いのある患者ということで肩身が狭い。

検査は唾液採取でなく、鼻腔の奥に棒を突っ込むもので、これを病院の外で採取して検査終了。診察とセットなので、初診料含め2500円程度。

8/22(日)

病院からPCR陽性との連絡があった。

体重が7kg減り、高校生の頃と同じになった。体力は相当落ちている。

この頃には熱も下がり、食事も摂れる様になった。

9/2(土)

保健所から初めて電話が入った。

電話で症状が無くなったこと、症状が出てから時間が経過していることから、外出してもよいという許可をもらった。

忙しくて今まで連絡できなかったのであろうが、

もし１人暮らしで、酸素飽和度低下で意識を失っていたら死んでいたのだろう。

改めて私の住んでいる市の行政は今回のパンデミックに対応できていないことが分かった。

墨田区が羨ましい。

本日はここまでです。

読んでいただきありがとうございました。

2021-09-06

Infected COVID-19 _Part2

7/29（木）

検査結果は私、妻ともに陰性と病院から連絡が来た。

陽性の場合は保健所からの連絡となるが、陰性なら病院からとなる。

保健所が忙しいために１日余裕を持たせていると推察。

隔離期間が終わったら電話診療費用を払いに行かねば。

通院時に前払いではダメ？と聞いたが、できないとのこと。これは仕方がない。

このままだと、8/11に濃厚接触者としての隔離期間が終わる。

この後に陽転する可能性もあると医師から言われたので、家庭内マスクは継続。

寝るときもマスクをするようにしたが、起きると外れているのはどうしようもない。

7/30（金）

同居する娘も濃厚接触者であるが、自覚症状が出なかったため、保健所でPCR検査を受ける。

公共交通機関は使えないので、車で移動。

車の窓は全開にして来るよう言われたが、雨が降りそうな気配。

なんとか持ちこたえ、雨に濡れることなく検査を終えて帰宅。

保健所からの検査結果連絡は明日午後。

7/31（土）

自分も妻も体調は戻りつつあるが、家庭内マスクはまだ継続している。

保健所からの検査結果は20時ころ電話連絡をもらえた。

PCRは陰性。よかった。

保健所はずいぶんと遅くまで仕事をされているものだ。

一度電話を取り損ね、２度電話をかけさせてしまったことが申し訳なく思われた。

折り返したが、「本日の業務は終了しました」という留守電だったので仕方がないか。

家庭内マスクは一旦解除とした。

今日はここまでです。

しかしながら、８月には感染してしまいます。

続きは後日書かせていただきます。

2021-09-01

Infected COVID-19 _Part1

7/28(Wed)

寝汗と咳で午前２時に目が覚めてしまった。もしかするとコロナウィルスに感染してしまったかもしれない。

これまでの経緯を記します。

2021/7/24(Sat)

早朝、高校生の息子が発熱した。37.9度。

症状は熱から始まった。

同級生に感染者が出ていたので、学校でもらってきてしまった可能性がある。

コロナ検査が出来、土曜に受診ができる病院を調べる。

車で30分程度の距離があるが、14:00から診察してくれる病院が見つかった。

14:00に病院に着き、10分程待った後、検査。

唾液を取り、解熱剤を処方してもらったので、息子と共にすぐに帰宅。

検査結果は26日(月)の午後となるらしい。

狭いアパートに住んでいるため、完全な隔離は不可能であるが、感染の可能性がある息子を即時隔離することが出来ないので、急いで対策をしなければならない。

息子が自宅の部屋だけで過ごせる様、食事は部屋まで運ぶことにした。

トイレ、シャワーは共用するしかないので、アルコールスプレーを購入し、使用後に消毒することにした。

娘は自分の部屋で食事をとるようにし、不必要に部屋から出ないようにする。

私と妻は自宅でも食事、シャワーの時以外はマスクをする。

出来る限りのことはしておこう。

7/26(月)

AM10:00に保健所からPCR検査陽性の連絡が入る。

息子を隔離施設のホテルに入れるよう調整をお願いしたところ、早くても7/28以降になるとのこと。

感染してしまった息子と一緒に暮らしていると、家族内で感染が広がってしまうことを告げたが、千葉県は患者が増えてきており、これ以上前倒しでの隔離は無理とのこと。

家族のPCR検査は7/30が最早らしい。

家族内で7/30と31に分かれて検査と言われたことから、保健所でのPCR検査のキャパシティは確保されていないことが想像された。

仮に息子から感染したとすると、PCRで陽性反応となるまでに4日はかかるとのことだが、であれば早く隔離施設を準備して欲しい。

通院予定がある妻は期せずして濃厚接触者となったため、このままでは予約をキャンセルしなければならない。

PCR検査と隔離の前倒しが出来ないかと問い合わせたが、調整できたのは7/31のPCRを7/30に繰り上げるのみであった。

息子は味覚障害が出てきた様子で、何を食べても味が分からないらしい。

熱は37.3度まで下がった。

保健所の定義する濃厚接触者の外出禁止に関するルール

・隔離をしない場合、患者本人は10日間が外出禁止。濃厚接触者となる家族は10日経過後、14日間の外出禁止となる。ただし、食料など日常生活必需品の買い物は除外される。

・つまり隔離を行わない場合、濃厚接触者となる家族は感染有無に関わらず、24日間自宅から自由に外出することができない。

・もし感染者の隔離を行った場合は、隔離した日から14日間の外出禁止となる。

7/27(火)

正午に隔離施設への予約が出来たとの連絡が保健所から入った。少し遠方のホテルであるが、7/28に入居できるとのこと。

ホテルの連絡先と水分や補食の準備について情報をいただいたので、すぐに準備し明日に備えた。

7/28(水)

冒頭の症状が出た。

体温計は息子の部屋なので取りに行けず、体温は不明。だが、高熱というほどではない。

鼻の奥にろうそくを突っ込まれたような臭いがする。

これが味覚障害の正体なのか、それとも今年エアコンを掃除しなかった罰なのかは不明。

とうとう感染してしまったかもしれない。

私の職場は全てリモートで仕事を行っており、通勤、オフィス、客先での感染は起こりえない。

妻も今は自宅におり、娘も大学の講義は全てリモートとなっているので感染は起こりにくい。

ただ、息子は高校に通学しているため、これを止めることは出来ない。

そして、子供が学校で感染してしまうと家庭内での感染を避けることは難しい。

私の住む町でのワクチン接種は8月からの受付開始だったが、一足遅かった。

自身から家族に感染させてしまうなら、自分がここにいなければよかった、できるならば消えてしまいたいという思いに駆られた。

これ以上の家庭内感染を防ぐため、暑くて狭いベランダでこの文章を書いている。

ネットでPCR検査をしてくれる近所の病院を検索したが、予約がいっぱいのようで今日中に検査ができるところが見つからない。

少し遠いが、息子が土曜に診てもらった病院なら本日中に検査してくれそうだ。

息子を隔離先のホテルに預けてきた。公共交通機関が使えないため車で送る。

妻が体温計を買ってきてくれたので自分の体温を測ると36.8度。

その後、妻とPCR検査のため車で通院。

濃厚接触者は、感染防止のために屋外で待機となる。

15分ほど待機して簡単な問診後、唾液を採取して提出。

検査結果は7/30の午後となる。

検査に２日もかかるものなのかと思いながらも、結果を待つしかない。

今日はここまでです。続きは後日改めて書きます。